Méthodes d’authentification et fournisseurs d’identité pour les clients

  • Article

L’ID externe Microsoft Entra offre plusieurs options pour authentifier les utilisateurs de vos applications. Vous pouvez permettre aux clients de créer un compte dans votre annuaire client à l’aide de leur adresse e-mail et d’un mot de passe ou d’un code secret à usage unique. Vous pouvez également activer la connexion avec un compte social.

Connexion par e-mail et mot de passe

L’inscription par e-mail est activée par défaut dans les paramètres du fournisseur d’identité de votre compte local. Avec l’option de l’adresse e-mail, les clients peuvent s’inscrire et se connecter avec leur adresse e-mail et leur mot de passe.

  • Inscription : les clients sont invités à entrer une adresse e-mail, qui est vérifiée lors de l’inscription avec un code secret à usage unique. Le client entre ensuite toute autre information demandée sur la page d’inscription, par exemple, le nom d’affichage, le prénom et le nom de famille. Ensuite, ils sélectionnent Continuer pour créer un compte.

  • Connexion : une fois que le client s’est inscrit et a créé un compte, il peut se connecter en entrant son adresse e-mail et son mot de passe.

  • Réinitialisation du mot de passe : si vous activez la connexion par e-mail et mot de passe, un lien de réinitialisation de mot de passe s’affiche sur la page du mot de passe. Si le client oublie son mot de passe, la sélection de ce lien envoie un code secret à usage unique à son adresse e-mail. Après vérification, le client peut choisir un nouveau mot de passe.

    Captures d’écran des pages de connexion par e-mail avec mot de passe.

Lorsque vous créez un flux d’utilisateur d’inscription et de connexion, Email avec mot de passe est l’option par défaut.

Email avec une connexion par code secret à usage unique

Email avec un code secret à usage unique est une option dans les paramètres du fournisseur d’identité de votre compte local. Avec cette option, le client se connecte avec un code secret temporaire au lieu d’un mot de passe stocké chaque fois qu’il se connecte.

  • Inscription : les clients peuvent s’inscrire avec leur adresse e-mail et demander un code temporaire, qui est envoyé à leur adresse e-mail. Puis, il entre ce code pour se connecter.

  • Connexion : une fois que le client s’est inscrit et a créé un compte, chaque fois qu’il se connecte, il entre son adresse e-mail et reçoit un code secret temporaire.

    Captures d’écran des pages de connexion par e-mail avec un code secret temporaire.

Notes

Si vous souhaitez activer l’authentification multifacteur (MFA), définissez votre méthode d’authentification de compte local sur E-mail avec un mot de passe. Si vous définissez l’option de votre compte local sur Email avec un code secret à usage unique, les clients qui utilisent cette méthode ne pourront pas se connecter, car le code secret à usage unique est déjà leur méthode de connexion au premier facteur et ne peut pas être utilisée comme deuxième facteur. Actuellement, d’autres méthodes de vérification ne sont pas disponibles pour les scénarios clients.

Lorsque vous créez un flux d’utilisateur d’inscription et de connexion, E-mail code secret à usage unique est l’une des options de compte local.

Fournisseurs d’identité sociale : Facebook et Google

Pour une expérience de connexion optimale, fédérez des fournisseurs d’identité sociale autant que possible afin de pouvoir offrir à vos clients une expérience de connexion transparente quand ils s’inscrivent et se connectent. Dans un locataire externe, vous pouvez autoriser un client à s’inscrire et à se connecter en utilisant son propre compte Facebook ou Google. Lorsqu’un client s’inscrit à votre application à l’aide de son compte social, le fournisseur d’identité sociale crée, maintient et gère les informations d’identité tout en fournissant des services d’authentification aux applications.

Lorsque vous activez les fournisseurs d’identité sociale, les clients peuvent choisir parmi les options de fournisseurs d’identité sociale que vous avez mises à disposition sur la page d’inscription. Pour configurer des fournisseurs d’identité sociale dans votre locataire externe, vous devez créer une application au niveau du fournisseur d’identité et configurer des informations d’identification. Vous recevez un ID de client ou d’application, et une clé secrète de client ou d’application, que vous pouvez ensuite ajouter à votre locataire externe.

Connexion Google

La configuration de la fédération avec Google vous permet d'autoriser les clients à se connecter à vos applications au moyen de leurs propres comptes Gmail. Une fois Google ajouté aux options de connexion de votre application, sur la page de connexion, les utilisateurs disposant d’un compte Google peuvent se connecter à l’ID externe Microsoft Entra.

Les captures d’écran suivantes montrent la connexion avec l’expérience Google. Dans la page de connexion, les utilisateurs sélectionnent Se connecter avec Google. À ce stade, l’utilisateur est redirigé vers le fournisseur d’identité Google pour terminer la connexion.

Captures d’écran des pages de connexion Google.

Découvrez comment ajouter Google comme fournisseur d’identité.

Connexion Facebook

En configurant la fédération avec Facebook, vous pouvez autoriser les utilisateurs invités à se connecter à vos applications avec leurs propres comptes Facebook. Une fois Facebook ajouté aux options de connexion de votre application, dans la page de connexion, les utilisateurs peuvent se connecter à ID externe Microsoft Entra avec un compte Facebook.

Les captures d’écran suivantes montrent la connexion avec l’expérience Facebook. Dans la page de connexion, les utilisateurs sélectionnent Se connecter avec Facebook. Ensuite, l’utilisateur est redirigé vers le fournisseur d’identité Facebook pour terminer la connexion.

Captures d’écran des pages de connexion Facebook.

Découvrez comment ajouter Facebook comme fournisseur d’identité.

Mise à jour des méthodes de connexion

À tout moment, vous pouvez mettre à jour les options de connexion que vous avez sélectionnées pour une application. Par exemple, vous pouvez ajouter des fournisseurs d’identité sociale ou modifier la méthode de connexion au compte local.

N’oubliez pas que lorsque vous modifiez les méthodes de connexion, la modification affecte uniquement les nouveaux utilisateurs. Les utilisateurs existants continueront à se connecter à l’aide de leur méthode d’origine. Par exemple, supposons que vous commencez par la méthode de connexion par e-mail et par mot de passe, puis que vous passez à l’e-mail avec un code secret à usage unique. Les nouveaux utilisateurs se connecteront à l’aide d’un code secret à usage unique, mais tous les utilisateurs qui se sont déjà inscrits avec un e-mail et un mot de passe devront toujours, sur invite, entrer leur e-mail et leur mot de passe.

API Microsoft Graph

Les opérations d’API Microsoft Graph suivantes sont prises en charge pour la gestion des fournisseurs d’identité et des méthodes d’authentification dans ID externe Microsoft Entra :

  • Pour identifier les fournisseurs d’identité et les méthodes d’authentification pris en charge, vous appelez l’API List availableProviderTypes.
  • Pour identifier les fournisseurs d’identité et les méthodes d’authentification déjà configurés et activés dans le locataire, vous appelez l’API List identityProviders.
  • Pour activer un fournisseur d’identité ou une méthode d’authentification pris en charge, vous appelez l’API Create identityProvider.

Étapes suivantes

Pour savoir comment ajouter des fournisseurs d’identité pour la connexion à vos applications, reportez-vous aux articles suivants :